V době digitalizace je třeba uchovávat nebo chránit především cenné informace. Pro podniky to znamená, že vedle ochrany dat je naprostou nutností také zabezpečení informací. Dobrá zpráva: společnosti, které mají certifikovaný systém řízení kvality podle normy ISO 9001, již vytvořily dobrý základ pro postupné zavádění plně komplexního zabezpečení informací.
Loading...
Téma bezpečnosti informací není nové. Nebezpečí ohrožující rozsáhlé informační prostředí v organizacích jsou známa již dlouho. Podle průzkumu BSI "Cyber Security Survey" z dubna 2019 uvedlo 43 % velkých společností, že byly v roce 2018 postiženy kybernetickými bezpečnostními incidenty.
U malých a středních podniků to bylo 26 %. A podle "Situační zprávy o bezpečnosti IT v Německu 2021" německého Spolkového úřadu pro informační bezpečnost (BSI) případů kybernetické kriminality opět výrazně přibylo. Ve sledovaném období od 1. června 2020 do 31. května 2021 došlo nejen k nárůstu počtu nových variant malwaru o dobrých 22 % (přibližně 144 milionů), ale také k dalšímu výraznému zvýšení kvality útoků. Mnoho pachatelů přitom využilo nouze mnoha firem a lidí o Coronu.
Bezpečnost důvěrných firemních informací je však stále zanedbávána. Při zpracování a ukládání informací často chybí obezřetnost a promyšlenost. Povědomí o důsledcích krádeže dat a jí podobných jevů také zdaleka není všude dostatečně rozvinuté. Někde se také firmy zdráhají investovat čas a úsilí potřebné k účinné ochraně citlivých informací.
Krok za krokem k větší bezpečnosti informací
Úsilí potřebné pro zabezpečení dat však nemusí být tak velké. Dobrou zprávou je, že mnoho společností nemusí zavést komplexní systém řízení bezpečnosti informací najednou. U kritických infrastruktur (CRITIS) to naopak vyžaduje německý zákon o bezpečnosti IT.
V úvahu přichází i postupný přístup. To znamená, že prvním krokem, přinejmenším ve společnostech, které mají systém řízení kvality (QM) v souladu s normou ISO 9001, může být aktualizace požadovaného přístupu založeného na rizicích - ovšem již s ohledem na odpovídající požadavky důležité normy ISO 27001 týkající se bezpečnosti informací.
Loading...
ISO 9001 a ISO 27001 v éře digitalizace
Vzrušující téma? Nyní je k dispozici jako bezplatná bílá kniha!
Z obsahu:
Kolik papíru pro kvalitu?
Účinná ochrana dokumentovaných informací
ISO 27001: Základ pro bezpečnou digitalizaci
Tato bílá kniha vychází z verze normy ISO 27001:2013
Bezpečnost informací a řízení kvality
ISO 27001 vs. ISO 9001: Kde jsou souvislosti? Nejprve je třeba poznamenat, že norma ISO 9001 pro řízení kvality skutečně vyžaduje přístup založený na rizicích ve všech oblastech. Implementace tohoto požadavku systému řízení však do značné míry závisí na vaší organizaci. Například řízení kvality nevyžaduje samostatný proces pro hodnocení rizik, což je však s ohledem na bezpečnost informací nepochybně málo. Nicméně:
Posuzování rizik pro otázky řízení kvality lze snadno rozšířit i na bezpečnost informací.
K tomu je užitečné podívat se na požadavky na identifikaci a řešení bezpečnostních rizik normy ISO 27001 pro systém řízení bezpečnosti informací (ISMS). Většinu aspektů mohou uživatelé systému managementu kvality s přiměřeným úsilím implementovat - pozor, jako první krok na cestě k ucelené bezpečnosti informací.
Bezpečnost informací - rizika a příležitosti
Obě mezinárodní normy, ISO 27001 pro bezpečnost informací i ISO 9001 pro management kvality, se zabývají příslušnými tématy v kapitole 6.1 "Opatření pro řešení rizik a příležitostí". V podstatě jde o zajištění tří základních aspektů v systému řízení:
- dosažení zamýšlených výsledků organizace
- Předcházení nežádoucím účinkům nebo jejich snižování
- Dosahování neustálého zlepšování prostřednictvím dodržování určitých norem
S ohledem na bezpečnost informací se jedná především o tři základní cíle ochrany:
- Ztráta důvěrnosti
- Integrita informací
- Dostupnost informací
Norma ISMS ISO 27001 specifikuje následující požadavky (část 6.1.1):
- Určení rizik a příležitostí
- Plánování opatření k řešení zjištěných rizik a příležitostí
- Plánování způsobu, jakým budou opatření integrována do podnikových procesů a realizována.
Identifikace a řešení rizik
Další podkapitola (6.1.2) normy ISO 27001 požaduje zavedení a uplatňování procesu hodnocení rizik bezpečnosti informací. Tento proces musí stanovit a udržovat kritéria rizik bezpečnosti informací. To zahrnuje zejména kritéria pro přijímání rizik a provádění hodnocení rizik bezpečnosti informací.
Proces musí dále zajistit, aby "opakovaná hodnocení rizik bezpečnosti informací přinášela konzistentní, platné a srovnatelné výsledky", jak uvádí norma ISMS. Následující dílčí položky mohou být významné s ohledem na první krok:
- Identifikovat rizika bezpečnosti informací
- Analýza rizik bezpečnosti informací
- Vyhodnotit rizika bezpečnosti informací
Požadavky v kapitole 6.1.3 vyzývají k zavedení a uplatňování procesu pro řešení rizik bezpečnosti informací s cílem dosáhnout následujícího:
- Vybrat vhodné možnosti řešení bezpečnostního rizika s ohledem na výsledky posouzení rizik.
- Určení všech opatření nezbytných k realizaci vybraných možností řešení bezpečnostního rizika.
- Porovnat stanovená opatření s kontrolními mechanismy uvedenými v příloze A normy ISO 27001 (cílové akce).
- Vypracujte prohlášení o použitelnosti s ohledem na důvody pro (ne)zahrnutí kontrolních opatření z přílohy A
- Zformulujte plán pro řešení bezpečnostních rizik
- Získat schválení a přijetí tohoto plánu od vlastníků rizik
Loading...
Certifikace dle ISO 27001
Jaké úsilí musíte očekávat, aby byl váš systém řízení bezpečnosti informací certifikován podle normy ISO 27001? Zjistěte to.
Příloha A normy ISO 27001 nabízí návod
Příloha A známé normy systému řízení ISO/IEC 27001 je výslovně normativní. Lze ji chápat jako jakýsi kontrolní seznam 93 možných kontrol bezpečnosti informací, který se zaměřuje na následující čtyři témata:
A.5 Organizační kontroly (s 37 kontrolami)
A.6 Personální kontroly (s 8 kontrolami)
A.7 Fyzické kontroly (se 14 kontrolami)
A.8 Technické kontroly (s 34 kontrolami).
Organizace může použít přílohu A, aby se ujistila, že nevynechala žádné podstatné položky pro řešení bezpečnostních rizik. Netvrdí však, že je vyčerpávající.
Tip na čtení:
Přečtěte si také příspěvek na blogu na téma Příloha A normy ISO 27001: Odpovědnosti a role zaměstnanců a získejte cenné odborné znalosti s naším bezplatným průvodcem auditem Přílohy A!
Všechny informace vycházejí z normy ISO 27001:2013.
Bezpečnost informací a řízení kvality - jaký je nejlepší přístup?
Norma ISO 27001 tedy vyžaduje dva oddělené procesy pro posuzování a řešení bezpečnostních rizik informací. Pro první krok by je však bylo možné spojit do jednoho procesu, který konkrétně rozšiřuje posuzování rizik řízení kvality podél výše uvedených požadavků o aspekt bezpečnosti informací. Obě normy tak poskytují dobrý základ pro zavedení ochranných opatření pro ochranu údajů a bezpečnost IT.
ISO 27001 vs. ISO 9001: To, jak důkladně nakonec výše uvedený proces řeší jednotlivé požadavky, závisí přímo na složitosti informačního prostředí vaší organizace a na datech, která vyžadují ochranu. V každém případě je vhodné nechat si jeho účinnost ověřit v rámci externího auditu. To je vhodné například v rámci certifikačního auditu vašeho systému řízení kvality podle normy ISO 9001, který je tak jako tak plánován.
Bezpečnost informací se setkává s řízením kvality - jaké jsou výhody?
- Proces, který se zásadním způsobem zabývá riziky bezpečnosti informací, může sloužit jako první, důležitý krok k ucelenému systému řízení bezpečnosti informací v souladu s normou ISO/IEC 27001.
- Zavedením takového procesu vrcholový management posiluje povědomí o bezpečnosti informací a dat (ochraně dat) na všech úrovních.
- Díky cílenému zvažování rizik v oblasti bezpečnosti informací má společnost možnost odhalit potřebu opatření a přijmout vhodná opatření (orientovaná na ISO 27001, příloha A).
- Posouzení rizik rozšířené o bezpečnost informací, například jako součást řízení kvality, posiluje celkový přístup společnosti založený na rizicích.
- Finanční i lidské zdroje potřebné pro implementaci a testování účinnosti jsou zvládnutelné.
DQS: Prosté využití kvality
V rámci vyvažování dynamiky a stability nabývají certifikované systémy řízení stále většího významu - tento vývoj vnímá společnost DQS pozitivně. Protože úspěšné společnosti a organizace využívají zjištění z našich auditů k neustálému zlepšování svých výsledků. A naše celosvětově uznávané certifikáty používají jako objektivní důkaz své schopnosti zajišťovat kvalitu. To vytváří důvěru - jak uvnitř organizace, tak i navenek.
DQS vydala první certifikát pro řízení kvality v Německu v roce 1986. První audit v srpnu 1986 vycházel z návrhu normy. V roce 1991 získala DQS první akreditaci pro ISO 9001/2/3 od tehdejšího TGA Trägergemeinschaft für Akkreditierung GmbH (dnes: DAkkS). V roce 2000 následovala akreditace pro certifikaci bezpečnosti informací podle britské normy BS 7799-2.
Loading...
Důvěra a odbornost
Naše texty a brožury píší výhradně naši odborníci na normy nebo auditoři s dlouholetými zkušenostmi. Pokud máte jakékoli dotazy týkající se obsahu nebo našich služeb, neváhejte nás kontaktovat.
Newsteller DQS
Zůstaňte informováni a přihlaste se k odběru našeho newsletteru!
Autor
André Saeckel
Produktový manažer společnosti DQS pro řízení bezpečnosti informací. Jako odborník na normy pro oblast informační bezpečnosti a bezpečnostního katalogu IT (kritické infrastruktury) je André Säckel zodpovědný mimo jiné za následující normy a oborové normy: ISO 27001, ISIS12, ISO 20000-1, KRITIS a TISAX (bezpečnost informací v automobilovém průmyslu). Je také členem pracovní skupiny ISO/IEC JTC 1/SC 27/WG 1 jako národní delegát Německého institutu pro normalizaci DIN.
Loading...